Baixe o app para aproveitar ainda mais
Prévia do material em texto
Administração e con�gurações essenciais do Windows Server Prof. Marcondes Josino Alexandre Descrição O serviço de diretório com instalação, configuração do Active Directory (AD), administração de objetos no AD e emprego do PowerShell. Propósito Um profissional de TI que deseja administrar um ambiente Windows deve saber realizar configurações essenciais no sistema operacional Windows Server que possibilitem uma estrutura de gerenciamento centralizado de contas de usuários, grupos e dispositivos, além de ser capaz de executar instruções programáticas por meio de scripts usando o ambiente de linha de comando, o PowerShell. Preparação Em todo o ambiente proposto será utilizado o sistema operacional Windows Server 2019 na versão Standard. A imagem para instalação pode ser obtida no Azure Dev Tools for Teaching, para quem tem cadastro ou licença de 180 dias no Windows Evaluation Center. A imagem pode ser instalada em uma máquina física ou em uma máquina virtual por meio de um software de virtualização como o VirtualBox, VMware, entre outros. Objetivos Módulo 1 Instalação e con�guração da função de controlador de domínio Reconhecer as etapas necessárias para configurar um controlador de domínio. Módulo 2 Projeto e implementação da estrutura de unidades organizacionais Empregar a estrutura de unidades organizacionais em um ambiente Windows Server. Módulo 3 Gerenciamento de usuários e grupos Empregar o gerenciamento de usuários e grupos em um ambiente Windows Server. Módulo 4 PowerShell Empregar instruções por linha de comando usando o ambiente PowerShell. É comum pensar que, ao instalar um sistema operacional, todos os recursos e funcionalidades estejam presentes nele. Na verdade, qualquer sistema operacional atua com um conjunto mínimo de recursos e funcionalidades para que você possa definir qual papel ele deverá exercer na infraestrutura de TI da sua empresa. Isso é o ideal, porque cada organização possui características únicas que não podem ser aplicadas da mesma forma para todas. Por isso, o seu olhar como profissional de tecnologia da informação é importante para entender o que a empresa precisa fazer, as escolhas corretas de recursos, funcionalidades e as devidas configurações que precisam ser feitas para corresponder à necessidade de serviços que a empresa almeja. Portanto, neste conteúdo, elucidaremos que configurações demandam definição e como podemos implementar um sistema de diretório para organização e administração de objetos (usuários, computadores) em um ambiente com sistema operacional Windows Server. Introdução 1 - Instalação e con�guração da função de controlador de domínio Ao �nal deste módulo, você será capaz de reconhecer as etapas necessárias para con�gurar um controlador de domínio. Serviço de diretório O primeiro passo para administrar servidores consiste no planejamento e na instalação do sistema operacional. Precisamos estabelecer quais funcionalidades e recursos serão necessários e também compreender de que forma eles devem ser configurados no servidor, a fim de que este possa atuar no ambiente de produção de uma empresa atendendo às necessidades e demandas por uso de serviços. O objetivo de um servidor e, em especial, do Windows Server 2019 é proporcionar serviços, os quais, por sua vez, estão relacionados com as funções que podemos instalar no sistema operacional, tais como: serviço de diretório, resolução de nomes, serviço de aplicação para páginas web, entre outras. Para começar, trataremos de uma das principais funções que normalmente é implementada no Windows Server: o serviço de diretório Active Directory (AD). Esse serviço possui um banco de dados no qual é possível centralizar dados de contas de usuários, computadores e políticas que podem ser vinculados ao Active Directory, simplificando e facilitando a gestão desses objetos. Se você está iniciando sua carreira como analista de infraestrutura e ainda não teve a oportunidade de estudar sobre esse serviço, chegou a hora! O AD é a base sobre a qual gira quase tudo no mundo do Windows Server. Visão geral de um controlador de domínio Um controlador de domínio, também nomeado como Domain Controller (DC), é um servidor que hospeda o Active Directory, sendo um ponto central que é acessado antes de estabelecer a comunicação entre o servidor e um sistema operacional cliente em uma rede de computadores, como, por exemplo, o Windows 11. Para que você possa entender melhor como é formada a estrutura desse serviço, imagine um repositório ou, ainda, uma caixa na qual você organize suas coisas pessoais. De forma semelhante, em um controlador de domínio podemos ter dados sobre os nomes de usuários, senhas, grupo de computadores e políticas de segurança. Portanto, o emprego desse serviço é de suma importância para a infraestrutura de comunicação entre computadores e dispositivos dentro de uma organização. A funcionalidade que deve ser instalada no servidor para exercer esse papel que citamos é chamada de Serviços de Domínio Active Directory (AD DS). Ao instalar essa função, o servidor passará de uma estação de trabalho para um controlador de domínio, no qual será criado um diretório para que se possa implementar uma estrutura hierárquica para organização dos objetos. Portanto, o Active Directory é um serviço que permite armazenar objetos, como nomes de usuário, senhas e contas de computador. Comentário A organização de um Active Directory não se restringe apenas a ser um controlador de um domínio, mas toda uma estrutura de esquema que constitui um sistema de hierarquias formado por florestas, árvores, domínios e unidades organizacionais. Achou confuso? Vamos contextualizar para que você possa compreender melhor. Imagine uma empresa formada por diversos departamentos, como, por exemplo, departamento de marketing e cobrança, no qual, por sua vez, sejam alocados funcionários para exercerem atividades pertinentes ao departamento. Logo, podemos relacionar o departamento com uma unidade organizacional e os funcionários com os usuários. A empresa possui uma organização hierárquica composta por departamentos, e essa disposição pode ser feita no Windows Server implantando um controlador de domínio. Já quando a empresa possui diversas filiais, podemos fazer essa estruturação usando o conceito de árvores, porque podemos definir o principal domínio (matriz) e os subdomínios (filiais). No entanto, quando a estrutura da empresa é significativamente grande, como observamos em empresas multinacionais localizadas em diversos países, temos uma organização dessas árvores, formando uma floresta de domínios. Agora que você entendeu alguns conceitos introdutórios sobre Active Directory, chegou a hora de colocar a mão na massa! Instalando um controlador de domínio Após ingressar no servidor em que você fez a instalação do sistema operacional Windows Server 2019, execute o programa Gerenciador do Servidor para proceder com a implementação da funcionalidade do Active Directory e, na sequência, clique em Adicionar funções e recursos, conforme mostrado na imagem 1. 1. Gerenciador do Servidor do Windows Server 2019. Em seguida, será apresentado um assistente de instalação do Windows Server, como já abordamos no tópico anterior. Siga as orientações mostradas nas imagens 2, 3 e 4. 2. Assistente de Adição de Funções e Recursos. 3. Selecionando o tipo de instalação 4. Selecionando o servidor de destino Na imagem 5, é mostrada a tela na qual você deve selecionar a funcionalidade que o servidor desempenhará, portanto, o papel que ele exercerá para fornecer um serviço para usuário. Selecione a opção Active Directory Domain Services para que o controlador de domínio seja instalado. 5. Selecionando a função de servidor: Active Directory Domain Services. Como você pode perceber na imagem 5, existem outras funcionalidades do Active Directory listadas. Para compreender melhor esses serviços, vamos discorrer brevemente sobre cada um deles. Active Directory Certi�cateServices É o serviço que permite implantar uma infraestrutura de chave pública com recurso de criptografia, certificados digitais a serem usados por serviços. Active Directory Domain Services É o serviço de diretório que armazena informações sobre usuários, computadores e demais dispositivos presentes em uma rede de computadores. Ao selecionar a opção mostrada na imagem 5, Active Directory Domain Services, será mostrada uma tela lhe sugerindo adicionar alguns recursos necessários para o uso correto da funcionalidade. Essa ação proativa do Windows Server acontece para qualquer funcionalidade que você venha instalar, indicando o que deve ser incorporado de recurso, de acordo com a função que o servidor irá exercer. Clique em adicionar recursos, conforme mostrado na imagem 6, para prosseguir com esse processo. 6. Adicionando recursos - Active Directory Domain Services. Active Directory Federation Services É o serviço que possibilita o compartilhamento seguro de informações de identidade entre domínios de empresas distintas, ou seja, determinada aplicação de um domínio poderá acessar um recurso de outro domínio de forma confiável. Active Directory Lightweight Directory Services É o serviço que usa o protocolo LDAP, cuja principal funcionalidade é armazenar e recuperar dados de aplicativos disponíveis neste domínio, sem as dependências exigidas pelo controlador de domínio por meio do Active Directory Domain Services. Active Directory Rights Management Services É o serviço que permite implantar soluções para proteção de informações, tais como: sites de intranet, documentos e mensagens de e-mail. Veja que, agora, a opção do Active Directory Domain Services está marcada, de acordo com a imagem 7. Isso significa que você pode pressionar o botão Próximo para seguir à próxima tela. 7. Selecionando Active Directory Domain Services. É possível adicionar outros recursos mesmo após ter feito a incorporação mostrada na imagem 6. Para esta atividade que constitui a instalação do Active Directory Domain Services, não será necessário adicionar qualquer recurso. Portanto, clique em Próximo para avançar, conforme exibido na imagem 8. 8. Adicionando recursos adicionais - Active Directory Domain Services. Agora, será apresentada uma tela com algumas explicações sobre a funcionalidade que você está instalando, ressaltando características e forma de uso, conforme a imagem 9. 9. Serviços do Domínio Active Directory. Para finalizar a primeira parte da instalação dessa funcionalidade, clique no botão Instalar para que o Windows Server possa proceder com a atividade, conforme mostrado na imagem 10. Atenção! Não será preciso marcar a opção Reiniciar cada servidor de destino automaticamente , se necessário, porque a instalação do serviço não carece dessa ação. 10. Confirmação das opções para instalação do Active Directory Domain Services. Voltando ao Gerenciador do Servidor, você pode perceber que o símbolo de notificação, representado por uma bandeira, possui um aviso indicando que ainda é necessário realizar alguma configuração pós- implantação da funcionalidade, conforme mostrado na imagem 11. 11. Gerenciador do Servidor – Notificação de configuração. Clique na sinalização da bandeira e, em seguida, na opção: Promover este servidor a um controlador de domínio, como é apresentado na imagem 12. 12. Gerenciador do Servidor: Execução de configuração pós-implantação. Será apresentada uma tela que o guiará para a configuração dos Serviços de Domínio do Active Directory, conforme mostrado na imagem 13. 13. Configuração de implantação: Active Directory Domain Services . Primeiro, precisamos definir qual operação de implantação deverá ser feita. Como estamos criando um controlador de domínio na infraestrutura de uma empresa que nunca teve o serviço de diretório, você deve executar os seguintes passos: Marcar a opção Adicionar uma nova floresta. Definir o nome do domínio raiz que será usado pelo Active Directory para construir a estrutura de esquema hierárquico. Na imagem 13, para ilustrarmos esse processo, escolhemos o nome: minhaempresa.com. Poderia ser qualquer outro, porém deve ser planejado antecipadamente, visto que se trata de uma configuração que implicará contas de usuários e computadores, por exemplo. Clique no botão Próximo para seguir com a configuração. Atenção! Caso a empresa já tivesse implantado um controlador de domínio e o estivesse usando, você poderia marcar a opção Adicionar um controlador de domínio a um domínio existente. E, por fim, a opção de Adicionar um novo domínio a uma floresta existente deveria ser escolhida caso fosse necessário adicionar um novo domínio a uma floresta existente; essa definição, geralmente, é aplicada quando temos uma estrutura de matriz e filial para a empresa. Na imagem 14, será necessário escolher o nível funcional da floresta e do domínio. Para que você possa fazer essa configuração adequadamente, vamos compreender o que implica cada uma dessas configurações: Nível funcional da �oresta Estabelece qual será a versão mínima do sistema operacional que terá um controlador de domínio para toda a floresta. Portanto, se você escolher o nível funcional de floresta Windows Server 2016, significa que não poderá ter um controlador de domínio em uma versão anterior do Windows Server. Nível funcional do domínio Define qual deverá ser a versão mínima do sistema operacional Windows Server de um controlador de domínio. Portanto, ao escolher Windows Server 2016, o controlador de domínio não poderá ser configurado em uma versão anterior, somente superior. Também na mesma tela, você encontrará alguns recursos que precisam ser especificados. Marque as opções apresentadas, que são: Servidor do sistema de nomes de domínio (DNS) – consiste no serviço de resolução de nomes e tradução de endereços IP. Catálogo Global (GC) – consiste em uma estrutura de armazenamento de todos os objetos que pertencerão ao controlador de domínio, portanto, exerce uma função nobre, de localizar os objetos na estrutura hierárquica do Active Directory e também fornecer autenticação das credenciais dos usuários. Atenção! A opção Controlador de domínio somente leitura (RODC) só deverá ser marcada quando você escolher criar um domínio em que toda a gestão seja centralizada em um único porto. Por exemplo, a matriz de uma empresa na qual todas as definições são feitas lá e replicadas para os demais domínios, que possuem a característica de apenas leitura. Por fim, informe uma senha para que seja usada em uma situação de emergência, que seria a recuperação do serviço de diretório do domínio. Logo, você não pode esquecer ou, ainda, perder essa senha. Agora, clique no botão próximo para avançar na instalação. 14. Opções do Controlador de Domínio: Active Directory Domain Services . Na imagem 15, será apresentada uma tela para habilitar ou não a delegação de DNS. Marcar essa opção implica que cada solicitação de resolução de nomes será respondida pelo serviço de diretório. Uma boa prática nessa configuração consiste em deixá-la desabilitada, haja vista que a empresa poderá ter um servidor DNS que não seja integrado ao Active Directory. Portanto, é plenamente viável que a organização possuia um servidor DNS implantado no sistema operacional Linux e use o serviço de diretório Active Directory do Windows Server. 15. Opções de DNS: Active Directory Domain Services. Na imagem 16, com base no nome do domínio raiz que você escolheu na imagem 13, será mostrado o nome de domínio NetBIOS, que possui uma restrição de 16 bytes e será usado para identificar o domínio em uma rede local. 16. Opções Adicionais: Active Directory Domain Services. Na imagem 17, temos duas configurações importantes: O diretório no servidor no qual será armazenado o banco de dados do Active Directory. O diretório no qual serão guardadas as definições de políticas que podem ser aplicadas aos usuários e computadores. Comentário Para nossa implementação, optamospela mesma unidade física do servidor. No entanto, é recomendável que isso seja feito em unidades físicas distintas para maior segurança e desempenho. 17. Definição de caminhos: Active Directory Domain Services. Na imagem 18, você pode observar e revisar todas as definições feitas anteriormente antes de prosseguir com a instalação. 18. Validando opções: Active Directory Domain Services . Caso queira gerar o script de configuração do controlador de domínio feito durante esse processo, clique em Exibir script. Na imagem 19, você poderá explorar o script gerado na linguagem PowerShell. Comentário Não precisa se preocupar em entender o que cada instrução representa ainda, pois teremos um módulo específico sobre PowerShell, no qual abordaremos esse assunto com maior propriedade. 19. Script de configuração: Active Directory Domain Services. Chegamos à última validação dos pré-requisitos antes de avançarmos com a instalação do serviço. Os resultados apresentados na imagem 20 são apenas avisos e não impedem o processo de implantação do serviço. Clique no botão Instalar para que o assistente proceda com a execução. 20. Verificação de pré-requisitos: Active Directory Domain Services. Para validarmos a instalação do serviço de diretório do Active Directory e a criação do domínio, acesse o Gerenciador do Servidor no sistema operacional Windows Server e, em seguida, clique na opção Servidor local, conforme mostrado na imagem 21. Em Propriedades e, a seguir, Domínio, o nome do domínio é apresentado. 21. Verificando o controlador de domínio após a configuração pós-instalação. Con�gurando o Active Directory Neste vídeo, veja as etapas de instalação e configuração do Active Directory em um Windows Server. Parabéns, você chegou com êxito ao fim dessa importante atividade! Agora, é o momento de validar o seu conhecimento antes de seguir para o próximo módulo. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 Qual funcionalidade do Windows Server deve ser instalada para gerenciar contas de usuários, computadores, grupos e políticas de segurança? Parabéns! A alternativa A está correta. O serviço de domínio Active Directory consiste em um servidor em que hospedamos um controlador de domínio, no qual podemos ter dados como nomes de usuários, senhas, grupo de computadores e políticas de segurança. Questão 2 O serviço de diretório Active Directory pode ser implantado em quais opções de instalação do Windows Server? A Serviço de Domínio Active Directory B Serviço de Federação do Active Directory C DNS D DHCP E Serviço Web A Subsistema do Windows para Linux ou Windows Server com experiência de desktop Parabéns! A alternativa C está correta. A funcionalidade do Active Directory pode ser instalada na versão do Windows Server com interface gráfica ou não. Portanto, não existe nenhuma dependência com relação à opção de experiência de desktop usando o mecanismo de janelas do Windows. B PowerShell ou subsistema do Windows para Linux C Windows Server com experiência de desktop ou sem interface gráfica D Windows Server sem interface gráfica ou no ambiente PowerShell E Subsistema de virtualização ou no Windows Server com experiência de desktop 2 - Projeto e implementação da estrutura de unidades organizacionais Ao �nal deste módulo, você será capaz de empregar a estrutura de unidades organizacionais em um ambiente Windows Server. Unidades organizacionais Criamos um domínio no qual é possível armazenar contas de usuário e senhas para os funcionários utilizarem para autenticação de suas credenciais e uso em suas estações de trabalho. Também podemos associar outros servidores e computadores a esse domínio para que eles possam aceitar e se beneficiar dessas credenciais de usuário. Estabelecer esse mecanismo de autenticação por meio do serviço de diretório consiste em uma das principais atribuições do Active Directory. Exemplo Imagine que, como um usuário de domínio, você faça login no seu computador no trabalho com seu nome de usuário e sua senha, e o sistema operacional Windows em execução no computador alcance um servidor que é controlador de domínio e verifique se sua senha está correta. Depois de confirmar que você é quem realmente diz, ele emite um token de autenticação de volta ao seu computador e, então, você consegue fazer login. Agora, vamos abordar como definir as estruturas de unidades organizacionais (UO) para que seja realizada uma organização lógica no controlador de domínio dos objetos criados, portanto, contas de usuários, computadores e serviços. Planejando a estrutura de unidades organizacionais Para iniciar a implementação das unidades organizacionais, são necessários planejamento prévio e discussão ampla com os membros da equipe de TI , a fim de que o modelo proposto seja capaz de corresponder às necessidades da empresa, bem como possibilite uma melhor organização e gerência dos objetos criados. Para que você possa ter uma ideia de quais passos seguir, alguns pontos são fundamentais nesse percurso. São eles: Localização geográ�ca Se o modelo administrativo for distribuído geograficamente e se os administradores estiverem presentes em cada local, organize a estrutura do Active Directory por local. Organização Se a administração de TI for baseada em departamento ou setor, projete o Active Directory com base na estrutura da organização. Certifique-se de seguir a estrutura administrativa, em vez do organograma, ao projetar um Active Directory baseado na empresa. O organograma pode não corresponder às necessidades administrativas de uma organização. Funções de negócios Se a administração de TI for descentralizada, projete a estrutura do Active Directory com base nas funções da empresa. Escolha essa abordagem apenas se a função de TI não for baseada na localização ou na organização. Essa estrutura é ideal ― na verdade, é a única apropriada ― para pequenas organizações que possuem funções de trabalho que abrangem vários departamentos. Modelo híbrido Se for uma organização altamente grande e que precise que a TI seja centralizada, e caso haja uma forte separação departamental ou setorial, projete as unidades organizacionais superiores ou domínios por local, e as unidades organizacionais inferiores ou níveis de domínio por organização. Como os níveis mais altos são baseados na localização, é menos provável que esse modelo mude e, portanto, que exija um grande esforço durante uma reorganização. Caso a gestão da TI não seja centralizada, o que possibilita a existência de várias unidades de negócios (filiais), cada uma poderá definir e implementar a sua estrutura de unidade organizacional, atendendo aos seus requisitos. Portanto, torna-se fundamental a integração entre as equipes de TI, buscando trabalhar juntas para a adoção de soluções e implementação de mudanças. Atenção! Nunca se esqueça de pensar em unidade organizacional como um ciclo de vida que apresenta várias etapas: planejamento, implantação, manutenção e exclusão. Como dissemos inicialmente, é essencial identificar como as unidades organizacionais deverão ser criadas e de que maneira pode ser empregado um controle administrativo sobre elas. No entanto, mudanças acontecerão nessas unidades organizacionais, como mover objetos e renomeação, sempre atendendo aos requisitos da empresa. E, por fim, as unidades organizacionais precisam ser excluídas caso não sejam mais úteis na organização de contas de usuários e computadores, pois ocupam espaço no controlador de domínio, dificultando a gestão dos recursos quando você tem uma ampla estrutura implantada. Implementando estrutura de unidades organizacionais Como o Active Directory é uma tecnologia versátil, podem ser usadas muitas ferramentas distintas para gerenciar e realizar as configurações. Sendo assim, vamos centralizar no Gerenciador do Servidor a gestão de todas as funcionalidades dos servidores remotos e local em um mesmo ambiente integrado de administração.Para iniciarmos nossa implementação da estrutura de unidades organizacionais, vamos utilizar a ferramenta chamada Usuários e Computadoresdo AD, que constitui um módulo no Microsoft Management Console. Com esse ambiente, é possível gerenciar facilmente muitos serviços do Windows Server. No Gerenciador do Servidor, na opção Ferramentas, escolha Usuários e Computadores do Active Directory , conforme mostrado na imagem 21. 21. Selecionando a ferramenta Usuários e Computadores do Active Directory. Com a ferramenta Usuários e Computadores do Active Directory, é possível criar e gerenciar todas as contas de usuários e computador. Na imagem 22, clique no nome do domínio raiz que você criou no módulo anterior, para que possa explorar toda a estrutura e demais componentes que podem ser gerenciados, conforme apresentado na imagem. 22. Ferramenta Usuários e Computadores do Active Directory. Nessa tela podemos destacar duas pastas, que são: Users (usuários) e Computers (computadores). Quando um novo usuário é cadastrado no domínio, por padrão, ele ficará armazenado no container Users, e, de forma análoga, quando um novo computador é incorporado ao domínio, permanecerá armazenado no container Computers. Essa abordagem é empregada pelo Active Directory, com o intuito mínimo de separar as contas de usuários e computadores. O ideal é que, para cada empresa, possamos definir unidades organizacionais de modo a organizar esses objetos com base em uma estrutura hierárquica. Comentário Na ferramenta Usuários e Computadores do Active Directory, a impressão é que cada estrutura apresentada é formada por pastas, de maneira semelhante ao Windows Explorer, em que você pode criar outras pastas e, assim, organizar seus objetos, no entanto, isso não é verdade! Para resolver essa questão, vamos usar a unidade organizacional. Uma unidade organizacional (UO) pode ser compreendida como um container que usamos dentro do Active Directory, de maneira a implantar uma estrutura de esquema hierárquico para organizar e manter os objetos de forma clara e simples. Observe a imagem 23, em que foram definidas as seguintes unidades organizacionais: Computadores Clientes. Contas de Usuários. Contas Desabilitadas. Na UO Computadores Clientes, adicionamos mais UOs descrevendo a disposição dos computadores por cidade. Na UO Contas de Usuários, por sua vez, organizamos, de forma separada, os funcionários e terceirizados a fim de que possam ser aplicadas políticas de segurança distintas conforme as diretrizes da empresa. Por fim, temos a UO Contas Desabilitadas, considerada uma boa prática, uma vez que movemos as contas de usuários inativas em decorrência do desligamento do funcionário da organização e mantemos a informação de seu vínculo, sem qualquer tipo de acesso ou permissão ativa. 23. Estruturando unidades organizacionais. Para criar uma unidade organizacional (UO) na ferramenta Usuários e Computadores do Active Directory, clique no nome do domínio raiz, em seguida, em Novo e, posteriormente, em Unidade Organizacional, de acordo com a imagem 24. 24. Criando unidade organizacional. Na tela apresentada na imagem 25, você poderá informar o nome da unidade organizacional. Por padrão, toda UO criada é protegida contra deleção acidental. 25. Criando uma unidade organizacional. Para proceder com a exclusão de uma unidade organizacional após a criação, você precisará habilitar a opção Recursos Avançados na ferramenta Usuários e Computadores do Active Directory. Para isso, no Menu Exibir, clique em Recursos Avançados, conforme mostrado na imagem 26. 26. Criando uma unidade organizacional. Clique com o botão direito na UO que você deseja excluir e, em seguida, escolha Propriedades, conforme é exibido na imagem 27. 27. Alterando as propriedades de uma unidade organizacional. Agora, alterne para a aba Objeto e desmarque a opção Proteger objeto contra exclusão acidental e, na sequência, clique no botão OK para que essa mudança seja realizada, conforme mostrado na imagem 28. 28. Criando uma unidade organizacional. Voltando à ferramenta Usuários e Computadores do Active Directory, selecione novamente a UO que você deseja excluir com o botão direito sobre ela. Será apresentada uma mensagem perguntando se deseja realmente executar essa ação. Clique em Sim, para que a UO seja excluída, de acordo com a imagem 29. 29. Excluindo uma unidade organizacional. Atenção! Devemos criar unidades organizacionais para melhor organizar as contas de usuários e computadores, como citamos, e também para que as políticas de segurança sejam aplicadas, haja vista que nos containers padrões ― Users e Computers ― essa ação não pode ser realizada. No próximo módulo, abordaremos de que maneira pode ser feito o gerenciamento de usuários e grupos. Utilizando unidades organizacionais Neste vídeo, veja a configuração de uma estrutura de unidades organizacionais. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 Qual estrutura do Active Directory pode ser usada para atribuição de políticas de segurança? A Container padrão de usuários Parabéns! A alternativa E está correta. Ao provisionar uma unidade organizacional, ela poderá ser usada para contas de usuários e computadores, sendo possível a atribuição de políticas de segurança com uso de diretivas de segurança. Questão 2 São vantagens para serem implementadas unidades organizacionais: B Container padrão de computadores C Unidade organizacional Domain Controllers D Container Managed Service Accounts E Unidade organizacional A acesso local e remoto a serviços. B gestão descentralizada de usuários, computadores e grupos. C estrutura de esquema hierárquico e administração centralizada de usuário e computadores. D estrutura de compartilhamento de dados e arquivos. E gestão local de usuários em um controlador de domínio. Parabéns! A alternativa C está correta. Ao definirmos o uso de uma estrutura de unidade organizacional, estamos refletindo um fluxograma de como os objetos ― contas de usuários e computadores ― devem ser geridos na infraestrutura da empresa. 3 - Gerenciamento de usuários e grupos Ao �nal deste módulo, você será capaz de empregar o gerenciamento de usuários e grupos em um ambiente Windows Server. Usuários e grupos Agora que criamos algumas UOs, podemos organizar, por exemplo, as contas de usuários. Clique com botão direito na UO Contas de Usuários, em seguida, em Novo e selecione a opção Usuário, de acordo com a imagem 30. 30. Criando uma conta de usuário Na tela de criação da conta de usuário, preencha os campos de acordo com o que é solicitado. O campo Nome de logon do usuário será onde o usuário deverá informar sua credencial no processo de autenticação a ser feito no controlador de domínio, conforme mostrado na imagem 31. 31. Definindo parâmetros para criação de uma conta de usuário. Na imagem 32, será solicitado que você digite a senha a ser atribuída à conta definida no passo anterior. É possível solicitar que no primeiro login, quando são fornecidas as credenciais de usuário e senha, seja solicitada a mudança da senha por parte dele, conforme mostrado na imagem a seguir. As demais opções são definidas de acordo com a política de senha que a empresa venha a adotar. 32. Definindo parâmetros de senha para criação de uma conta de usuário. Observe que a conta de usuário Mateus Junior foi criada por meio do procedimento feito nos passos anteriores, como mostra a figura 33. Você poderá mover a conta de usuário Mateus Junior para a UO Funcionários, caso seja a classificação que você deve atribuir a esse usuário. 33. Validando a criação de uma conta de usuário. De�nindo grupos de segurança Os grupos de segurança são outro recurso importante no Active Directory. Ao criar grupos de segurança dentro do Active Directory, concede-se a capacidade de adicionar e remover contas de usuário específicas, contas de computador ou até mesmo outros grupos para que se possa definir,de maneira granular, o acesso aos nossos recursos. Para criar um grupo de segurança, basta selecionar determinada UO ou fazê-lo a partir do nome raiz do domínio, como mostra a imagem 34. 34. Criando um grupo de segurança. Será apresentada a tela da imagem 35, a fim de que você possa fornecer os parâmetros para criação do grupo de segurança. No exemplo em questão, estamos criando um grupo de segurança chamado RH, com o tipo de escopo do grupo global e tipo de grupo: segurança. 35. Definindo parâmetros de um grupo de segurança. Talvez você esteja se perguntando qual a função do escopo do grupo e tipo de grupo. Vamos discorrer brevemente sobre cada um deles. Ao definirmos o escopo do grupo, é possível permitir a visibilidade do grupo dentro de um domínio e uma floresta, a fim de receber permissões adequadas para acesso a recursos de redes. Assim, o escopo do grupo pode ser configurado como: Domínio local Nesta configuração, estabelecemos que os grupos criados somente poderão receber permissões para os recursos do domínio a que foram provisionados Domínio global Nesta configuração, o escopo do grupo global poerá ter permissões de acesso definidas para qualquer domínio. Domínio universal Nesta configuração, a opção de escopo de grupo universal está relacionada à atribuição de permissões de qualquer domínio ou em uma árvore de domínios. Dica Deve-se usar escopo de domínio local para grupo de segurança na criação de contas de usuários e, posteriormente, adicionar esse grupo criado a outro que tenha escopo global. E, por fim, os grupos de segurança global adicionandos ao grupo universal, se for o caso. Não se esqueça de que as permissões são definidas para grupo de domínio local. Quando escolhemos o tipo de grupo, estamos determinando o seu comportamento entre segurança e distribuição. Ao aplicar políticas de segurança e permissões, deverá ser escolhido o tipo de grupo de segurança. Caso contrário, deve-se optar pela distribuição quando o principal objetivo for apenas gerenciar grupos de usuários sem a necessidade de aplicação de política de segurança. De�nindo contas de computadores Permitir que novas contas de computador sejam incorporadas no container Computadores padrão, geralmente, não apresenta nenhum problema, mas, se você permitir que os servidores da empresa sejam automaticamente atribuídos a esse container, poderá causar grandes problemas. Muitas empresas têm políticas de segurança em vigor na rede, e estas, em geral, são criadas de forma que sejam aplicadas automaticamente a qualquer conta de computador que resida em uma das UOs. Utilizar políticas de segurança pode contribuir para uma gestão na empresa de segurança que estabeleça o que deve ou não ser acessado em um computador por qualquer usuário que venha a utilizá-lo. Agora, acessando a ferramenta Usuários e Computadores do Active Directory, selecione novamente a UO, clique em Novo e, em seguida, em Computador, para adicionar o registro de um computador/servidor em determinada UO, como mostra a imagem 36. 36. Adicionando conta de computador. Será apresentada a tela mostrada na imagem 37, e você deverá informar o nome do computador que será registrado no controlador de domínio, bem como o grupo-padrão a ser vinculado. 37. Definindo os parâmetros para criação de uma conta de computador. Usuários e Grupos no AD Neste vídeo, você aprenderá como realizar a criação e o gerenciamento de usuários e grupos no Active Directory, as diferenças nos tipos de grupos e como deve ser planejada a utilização dos diferentes níveis de escopo em uma floresta. Chegamos ao final deste módulo, em que você aprendeu os conceitos fundamentais para planejar e implementar uma estrutura organizacional no Active Directory, criando contas de usuários, computadores e grupos de segurança. No próximo módulo, veremos como instrumentalizar programaticamente instruções por linha de comando no Windows Server. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 Ao criar um grupo de segurança a ser visto apenas em um controlador de domínio, qual seria o escopo de grupo adequado para armazenar esse objeto? A Domínio local B Grupo local C Global D Universal Parabéns! A alternativa C está correta. Ao criar um grupo de segurança, deve-se atribuir o escopo global para seja possível a visibilidade apenas dentro do domínio e, portanto, em determinado controlador de domínio. Questão 2 Para que possam ser estabelecidas permissões de segurança para uma conta de usuário, deve-se adicioná-la a que tipo de grupo? Parabéns! A alternativa B está correta. Deve-se usar escopo de domínio local para grupo de segurança na criação de contas de usuários e, posteriormente, adicionar esse grupo criado a outro que tenha escopo global, a fim de que se possam atribuir corretamente as permissões. E Regional A Distribuição B Segurança C Replicação D Alta Disponibilidade E Backup 4 - PowerShell Ao �nal deste módulo, você será capaz de empregar instruções por linha de comando usando o ambiente PowerShell. PowerShell Após administrarmos os recursos por meio da interface gráfica do Windows Server, chegou a vez de aprendermos como gerenciar e realizar configurações por meio de instruções de linha de comando. Muitas rotinas definidas para execução tinham como base o sistema operacional MS-DOS, por meio de scripts em bat. No ano de 2006, a Microsoft lançou a linguagem de scripts Windows PowerShell, desenvolvida com base na plataforma .NET e cuja principal característica era auxiliar os administradores no processo de automatização de tarefas administrativas. Em decorrência da escolha pela plataforma .NET, o Windows PowerShell é orientado a objetos. Isso fornece mais poder e flexibilidade ao trabalhar com dados, em comparação com o trabalho com os dados simplesmente como texto. Atualmente a plataforma .NET pode ser executada nos sistemas operacionais Windows, Linux e MacOS, além de ser um framework gratuito e de código aberto. Existem muitas variedades de comandos, chamados de cmdlets (pronuncia-se command-lets), funções, filtros, scripts, aplicativos, configurações e fluxos de trabalho no Windows PowerShell. Os comandos são blocos de instruções em que você desenvolve usando a linguagem de script do Windows PowerShell. Ao usar essa estrutura de comandos, você pode criar soluções customizadas para tratar problemas administrativos mais complexos na gestão do Windows Server. É possível executar comandos diretamente no console do Windows PowerShell para concluir uma única tarefa. O console é a interface de linha de comando (CLI) do Windows PowerShell, sendo a principal forma de interagir com ele. De acordo com o tipo de funcionalidade que você possa adicionar ao servidor Windows Server, uma série de comandos do PowerShell são incorporados para que seja viável gerenciar essa funcionalidade e também alguns recursos usando o Windows PowerShell. Em muitos casos, mesmo quando o aplicativo fornece uma interface gráfica do usuário (GUI) para gerenciar o software, ele hospeda o Windows PowerShell e executa os cmdlets nos bastidores. Comentário No ano de 2016, tivemos uma importante novidade para o Windows PowerShell: ele se tornou um projeto de código aberto, atualmente denominado PowerShell Core, podendo ser habilitado para execução do Windows PowerShell no Linux. Cada versão do Windows PowerShell inclui certas funcionalidades nativas, que são independentes da versão do sistema operacional em que o Windows PowerShell está sendo executado. Ferramentas do Windows PowerShell O console usa o aplicativo host integrado ao Windows, o que é basicamente a mesma experiência de linha de comando oferecida pelo shell cmd.exe, presente até hoje no sistema operacional Windows, conforme mostrado na imagem 38. 38. Windows PowerShell. No entanto, o Windows Server 2019 e o Windows 11 fornecem um console atualizado com mais funcionalidades, incluindo cores de sintaxe. Temos, ainda, um aplicativochamado Windows PowerShell ISE, que fornece recursos mais avançados de edição das instruções, como também o preenchimento de código usando IntelliSense, vide imagem 39. 39. Windows PowerShell ISE. Identificar qual versão do Windows PowerShell será usada em uma sessão do Windows PowerShell na execução de comandos pode parecer, a princípio, uma tarefa difícil, haja vista que você pode ter instalado vários idiomas para o sistema operacional. No entanto, no diretório C:\Windows\SysWOW64\WindowsPowerShell\v1.0 é possível encontrar todas as versões instaladas, como mostra a imagem 40. 40. Diretório das versões do PowerShell. Ao trabalhar no console frequentemente para execução de instruções, você pode desejar personalizar o ambiente, além de gerenciar suas preferências alterando componentes como tamanho e tipo de fonte, ajustando o tamanho e a posição da janela do console e do buffer de tela, alterando o esquema de cores e ativando atalhos de teclado. Para ativar essas configurações no aplicativo Windows PowerShell ISE, acesse o menu Ferramentas e, depois, selecione Opções. Será apresentada uma tela, conforme mostrado na imagem 41, na qual você poderá fazer os ajustes que julgar necessários e oportunos. 41. Personalizando o Windows PowerShell ISE. Caso sua escolha seja pelo Windows Powershell console, clique com o botão direito na parte superior da tela e, em seguida, escolha Propriedades, de acordo com o que é exibido na imagem 42. 42. Definindo Propriedades do console Windows PowerShell. Será apresentada uma tela na qual você pode navegar entre algumas abas e definir, por exemplo, o tamanho e a localização da janela do console, como mostra a imagem 43. 43. Customizando as configurações do console Windows PowerShell. Ao definir o tamanho da janela, você deve entender a relação entre Tamanho do Buffer da Tela e Tamanho do Windows, para não perder acidentalmente alguma das saídas que aparecem na janela do console. Veja, a seguir, a diferença entre essas duas opções. Tamanho do buffer da tela É a largura em número de caracteres e a altura em número de linhas que aparecem no buffer de texto. Tamanho do Windows É a largura da janela real, como sugere o nome da opção. Na maioria dos casos, você desejará certificar-se de que a opção Largura para Tamanho do Buffer da Tela seja igual ou menor do que a opção Largura para Tamanho do Windows. Isso impedirá que você tenha uma barra de rolagem horizontal na janela do console. Você pode atualizar essas opções na guia Layout. Defina a largura do buffer de tela e das janelas do console para que esteja o mais próximo possível da largura de sua tela real, maximizando a quantidade de texto horizontal que você pode exibir. Isso será útil posteriormente, quando você formatar a saída de dados na tela que seus scripts retornam. Entendendo a estrutura dos cmdlets Existe uma enorme quantidade de cmdlets do Windows PowerShell incorporados ao sistema operacional Windows e demais produtos da Microsoft, como o sistema gerenciador de banco de dados, SQL Server. Com certeza, memorizar esse arsenal de nomes e a sintaxe desses comandos é algo humanamente impossível. Logo, para ajudar nessa questão, os desenvolvedores do Windows PowerShell criaram os cmdlets usando uma estrutura comum que ajuda a identificar o nome de um cmdlet e sua sintaxe. Isso torna muito mais fácil descobrir e usá-los. Dica A estrutura básica de um nome de cmdlet é composta de: Verbo-Substantivo. A parte do verbo do nome do cmdlet indica o que o cmdlet faz. Há um conjunto de verbos definidos pelos desenvolvedores do cmdlet que proporciona uma consistência em nomes de cmdlet. Geralmente, os mais usados são: 1. GET. ‒ Recupera um recurso, traz dados sobre ele; 2. SET. ‒ Modifica os dados associados a um recurso, como um arquivo ou uma propriedade do usuário; 3. NEW. ‒ Cria um novo recurso; 4. ADD. ‒ Adiciona um recurso a um container de vários recursos; 5. REMOVE. ‒ Exclui um recurso de um container de vários recursos Atenção! Aqui, estão listados apenas alguns dos verbos que os cmdlets podem usar. Além disso, alguns verbos desempenham funções semelhantes. Por exemplo, o verbo ADD pode criar um recurso, semelhante ao verbo NEW. Agora, vamos explorar a segunda parte do nome do cmdlet, chamado de substantivo, o qual indica que tipos de recursos ou objetos ele afeta. Todos os cmdlets que operam no mesmo recurso devem usar o mesmo substantivo. Exemplo Por exemplo, o substantivo Service é usado para cmdlets que funcionam com serviços do Windows, e o substantivo Process é usado para gerenciar processos em um computador. Os substantivos podem, ainda, ter prefixos que ajudam no agrupamento de substantivos relacionados em famílias. Por exemplo, os substantivos do Active Directory começam com as letras AD (como ADUser, ADGroup e ADComputer). Na estrutura de um cmdlet, você pode, ainda, definir parâmetros que modifiquem as ações que ele venha a executar. Observe algumas regras a seguir: Os nomes dos parâmetros começam com um hifen (-). Um espaço separa o valor que você deseja passar do nome do parâmetro. Se o valor que você está passando contiver espaços, você precisará colocar o texto entre aspas. Alguns parâmetros aceitam vários valores, separados por vírgulas e sem espaços. Mas não se preocupe! O aplicativo do Windows PowerShell ISE vai ajudá-lo na construção do comando. Veja na imagem 44 que, ao digitarmos o verbo GET e iniciarmos informando o substantivo, o próprio aplicativo sugere, por meio de uma lista, a opção que você deverá usar. 44. Cmdlet no Windows PowerShell ISE. Também são apresentados os parâmetros disponíveis para serem usados, relacionados ao cmdlet que você definiu, vide imagem 45. 45. Definindo Parâmetros para um cmdlet no Windows PowerShell ISE. O resultado do cmdlet Get-Service -ComputerName ‘vm-esatus2-001‘ é mostrado na imagem 46. Como definimos um parâmetro no cmdlet, que foi -ComputerName, precisamos informar o valor que deverá ser considerado pela instrução a ser executada. 46. Serviços disponíveis de servidor. Como melhorar a velocidade e a precisão dos comandos que digitaremos usando Windows Powershell? Resposta Se você utilizar a tecla TAB, poderá fazer uso do preenchimento de tabulação no qual insere comandos com muito mais rapidez, tornando seu código menos sujeito a erros. Alguns nomes de cmdlet podem ser longos e complicados. TEPor exemplo, você pode inverter acidentalmente apenas duas letras ao digitar o nome do cmdlet Get- DnsServerResponseRateLimitingExceptionList. Isso levaria à frustração quando o comando não fosse executado com êxito. O preenchimento de tabulação funciona até mesmo com curingas. Se você deseja um cmdlet que opere com serviços, no entanto, não tem certeza de qual vai precisar, insira o texto * -service no console e pressione TAB para exibir todos os cmdlets que contêm o texto -service em seus nomes. Dica Utilize o cmdlet Get-Help para encontrar comandos. O comando Get-Help pode ser muito útil para localizar comandos. Aceita caracteres curinga, principalmente o asterisco (*). Usando módulos no Windows Powershell Módulos são grupos de funcionalidades relacionadas do Windows PowerShell que são empacotadas para formar uma única unidade e, dessa forma, ajudam a organizar os cmdlets e torná-los mais distribuíveis. A Microsoft e outras empresas de software fornecem módulos como parte das ferramentas de gerenciamento de seus aplicativos e serviços. Para usar os cmdlets contidos em um módulo, o módulo deve ser carregado na sessão atual do Windows PowerShell. Alguns produtos, como o SQL Server, fornecem um atalho para o que parece ser um shell de gerenciamento dedicado. No entanto, essa é realmente uma sessão normal do console do Windows PowerShell com módulos específicos para o aplicativo já carregado. Comentário Desde a versão 3 do Windows PowerShell, os módulos são carregados automaticamente se você executar um cmdlet que não esteja carregado no momento. Issofunciona se o módulo que contém o cmdlet estiver em uma pasta nos caminhos de carregamento do módulo. Outro ponto importante é que você não está limitado a pesquisar apenas cmdlets instalados em seu servidor. Poderá encontrar uma ampla variedade de módulos e cmdlets da Microsoft pesquisando na Internet. Se você pesquisar usando os termos PowerShell e a tecnologia com a qual está trabalhando, encontrará uma grande variedade de links. Praticamente todos os times de produtos da Microsoft criam cmdlets para uso no gerenciamento de seus produtos e você poderá instalá-los como parte de suas ferramentas de gerenciamento. Temos, ainda, a Galeria do PowerShell, que consiste em um repositório central de conteúdo relacionado ao Windows PowerShell, incluindo scripts e módulos. A Galeria do PowerShell usa o módulo do Windows PowerShell, PowerShellGet. Esse módulo faz parte do Windows PowerShell desde a versão 5.0. Utilizando PowerShell Neste vídeo, veja as tarefas de administração, configuração do Active Directory por meio de comandos do PowerShell. Chegamos ao fim deste módulo, no qual apresentamos uma introdução sobre Windows PowerShell, seus conceitos e suas características. Você estudou, ainda, a importância dessa ferramenta de linha de código para automação de processos e atividades na administração de serviços e recursos no Windows Server. Falta pouco para atingir seus objetivos. Vamos praticar alguns conceitos? Questão 1 Um script desenvolvimento no Windows PowerShell pode ser executado em qual sistema operacional? A Apenas no Windows B Windows e Linux Parabéns! A alternativa D está correta. O desenvolvimento de scripts usando a ferramenta de linha de comando Windows Powershell poderá ser executado nos sistemas operacionais: Windows, Linux e MacOS. Questão 2 A estrutura básica de um nome de cmdlet é composta de: Verbo-Substantivo. Marque o item que apresenta o verbo capaz de modificar os dados associados a um recurso, como um arquivo ou uma propriedade do usuário. Parabéns! A alternativa C está correta. C Apenas no Linux D Windows, Linux e MacOS E Windows e MacOS A GET B ADD C SET D REMOVE E NEW O verbo que deve ser usado para que as alterações possam ser realizadas em determinado recurso, como um arquivo ou uma propriedade do usuário, é SET. Considerações �nais Neste conteúdo, você compreendeu a principal funcionalidade do Windows Server, que corresponde ao serviço de diretório Active Directory (AD). Vimos que, por meio dele, podemos organizar os elementos do domínio empregando a estrutura de unidades organizacionais, as quais permitem uma melhor administração dos diversos tipos de objetos que compõem um serviço de diretório. Também aprendemos a fazer a gestão de configurações para contas de usuários, grupos e computadores. Quando abordamos a gerência de grupos, discutimos sobre os grupos de segurança e como o escopo pode auxiliar na configuração das permissões de segurança para que um usuário acesse determinado recurso. Por fim, apresentamos a plataforma de linha de código Windows PowerShell, que pode ser usada para administração programática dos serviços do sistema operacional, por meio de scripts. Podcast Neste podcast, abordamos a importância do serviço de diretório em uma rede e sua implementação em um servidor Windows Server por meio do Active Directory. Explore + Pesquise o artigo Gerenciamento Remoto do Windows por GPO, de Gabriel Luiz Cunha de Oliveira, que descreve todos os passos necessários que precisam ser configurados. Pesquise o artigo Novidades do Windows Server 2019, de Eduardo Costa, no site da HSBS Soluções em Informática, que apresenta uma visão geral das novas funcionalidades adicionadas a essa versão. Referências DAUTI, M. Windows Server 2019 Administration Fundamentals: A beginner's guide to managing and administering Windows Server environments. 2. ed. UK: Packt, 2019. KRAUSE, J. Mastering Windows Server 2019. 3. ed. UK: Packt, 2021. THOMAS, O. Windows Server 2019 Inside Out. 1. ed. Microsoft Press, 2020. Material para download Clique no botão abaixo para fazer o download do conteúdo completo em formato PDF. Download material javascript:CriaPDF() O que você achou do conteúdo? Relatar problema
Compartilhar